Il ricatto di un robot

Minacce Tecnologia

Come accade per la maggior parte degli apparecchi elettronici, anche i robot posso essere obiettivo di attacco da parte dei cybercriminali. Lo scorso anno, i ricercatori di IOActive hanno individuato ben 50 vulnerabilità nei robot progettati dall’azienda giapponese SoftBank. La casa produttrice è stata informata ma non hanno mai risposto. E quest’anno i ricercatori hanno deciso di mostrare al Security Analyst Summit 2018 cosa può succedere se viene hackerato un robot.

I robot possono essere hackerati

In realtà siamo già circondati da robot, che ci aiutano a svolgere il lavoro nelle industrie e nei magazzini, o anche nelle discariche e persino negli ospedali. L’azienda SoftBank Robotics produce proprio questi “aiutanti” elettronici che danno una mano importante alle persone. Il modello NAO aiuta studenti piccoli e grandi a conoscere la robotica e la programmazione e insegna anche a bambini affetti da autismo. Un altro modello, Pepper, dedicato al settore terziario, ha il compito di attirare potenziali clienti e svolge lavori di consulenza con potenziali acquirenti.

Il team di IO Active ha scoperto che, per prendere il controllo del robot NAO, è necessario trovarsi solamente nella stessa rete del robot. Gli esperti, infatti, hanno individuato alcune vulnerabilità che consentono di gestirlo in remoto, prendendone il pieno controllo a tutti gli effetti.

Per dimostrare in quanti e quali modi fosse possibile sfruttare queste vulnerabilità, il team ha obbligato NAO a chiedere Bitcoin al suo interlocutore umano; in realtà i veri cybercriminali avrebbero come limiti solo la loro immaginazione o le proprie capacità di programmazione. Ma i ransomware non solo potrebbero colpire NAO, il modello Pepper è altrettanto vulnerabile, e probabilmente anche altri modelli.

Immaginate che un bel giorno un robot-insegnate o commesso iniziasse a insultare i passanti all’improvviso o a dire parolacce agli alunni per poi andare in sciopero o iniziare a litigare. Che storia!

Ma perché hackerare un robot?

Cosa ne guadagnerebbero i cybercriminali? Magari riuscirebbero solo a rovinare la giornata di una persona o addirittura la vita? Già questo potrebbe essere un incentivo, spesso i cybercriminali fanno bravate per puro divertimento. Ma la ragione è anche un’altra: il denaro.

Il profitto è sempre una ragione molto valida. Per comprare un robot ci vogliono all’incirca 10 mila dollari e, se si rompe, bisogna ripararlo o sostituirlo. In entrambi i casi bisogna investire dei soldi e poi c’è il danno di reputazione (i clienti non gradiscono un robot che li minacci, diciamo così) e di tempo perso. Insomma, i costi sono importanti, da vari punti di vista. Per non parlare del fatto che, se viene hackerato un robot che si occupa della produzione industriale, sono a rischio la sicurezza dei dipendenti e la qualità dei prodotti.

Un cybercriminale che mette fuori uso i robot mediante queste tecniche può offrire direttamente la soluzione al problema (che lui stesso ha causato): pagando un riscatto tutto può tornare come prima. Tuttavia, come potete immaginare, i cybercriminali non mantengono sempre fede alla parola data. E, in ogni caso, un robot vulnerabile può essere sempre hackerato di nuovo, e quindi andrebbe pagato un altro riscatto. E ancora, e ancora.

Cosa fare?

I robot sono e diventeranno sempre più una realtà, in futuro non sarà assolutamente possibile evitare di avere contatto con loro (dovremmo avere una macchina del tempo ed evitare la loro stessa esistenza). L’unica soluzione è che gli utenti (e soprattutto le case produttrici) capiscano i punti di debolezza che possono avere i robot e risolverli.

Per evitare che i robot passino da essere una tecnolgia all’avanguardia a una vera e propria catastrofe, i loro creatori dovrebbero pensare agli eventuali problemi di sicurezza ancor prima che vengano prodotti. A partire da adesso, anzi siamo già in ritardo. E, dopo aver lanciato un robot sul mercato, bisognerebbe sempre tenere i piedi per terra ed essere pronti a reagire prontamente a qualsiasi vulnerabilità venga individuata e risolverla nel minor tempo possibile.